Das Bundesarbeitsgericht (BAG) hat einem Arbeitnehmer 200 Euro Schadensersatz zugesprochen, da bei einem Workday-Softwaretest mehr personenbezogene Daten weitergegeben wurden, als die Betriebsvereinbarung erlaubte (Az. 8 AZR 209/21). Dieses Urteil ist ein Warnsignal für alle Unternehmen, die mit Mitarbeiterdaten arbeiten, und unterstreicht die Bedeutung der DSGVO-Konformität.
Workday-Datenleck: Wenn der Software-Test zum DSGVO-Verstoß wird
Ein internationales Unternehmen testete 2017 die cloudbasierte HR-Software Workday. Dabei wurden Mitarbeiterdaten an die Konzernobergesellschaft übermittelt. Obwohl eine Betriebsvereinbarung die Weitergabe bestimmter Daten erlaubte, kam es zu einem Datenleck: Auch sensible Daten wie Gehaltsdaten und Adressen wurden weitergegeben. Ein Mitarbeiter klagte.
BAG-Urteil: 200 Euro Schadensersatz – Kontrollverlust über Daten entscheidend
Das BAG bestätigte den DSGVO-Verstoß. Die unzulässige Datenweitergabe führte zu einem Schadensersatzanspruch von 200 Euro. Entscheidend war der Kontrollverlust des Arbeitnehmers über seine persönlichen Daten.
EuGH-Klarstellung: Betriebsvereinbarungen & DSGVO – Was ist erlaubt?
Im Vorfeld hatte das BAG dem EuGH Fragen zur Vereinbarkeit von Betriebsvereinbarungen mit der DSGVO vorgelegt. Die Antwort des EuGH: Betriebsvereinbarungen bedürfen der DSGVO-Konformität, um als Rechtsgrundlage zu dienen. Im konkreten Fall wurde die Prüfung der Betriebsvereinbarung jedoch vom Kläger ausgenommen.
DSGVO & Mitarbeiterdaten: Konsequenzen für Ihr Unternehmen
- Betriebsvereinbarungen und DSGVO im Einklang: Betriebsvereinbarungen sind kein Freifahrtschein! Sorgfältige Gestaltung und DSGVO-Konformität sind Pflicht.
- Datenminimierung – Weniger ist mehr: Verarbeiten Sie nur unbedingt notwendige Daten. Eine gründliche Prüfung der Erforderlichkeit ist unerlässlich.
- Kontrollverlust – Teurer als gedacht: Der Verlust der Datenkontrolle kann zu Schadensersatz führen, auch ohne direkten finanziellen Schaden.
- DSGVO-Compliance: So schützen Sie sich: Überprüfen Sie Ihre Datenverarbeitungsprozesse, erstellen Sie DSGVO-konforme Betriebsvereinbarungen, schulen Sie Ihre Mitarbeiter und überwachen Sie die Einhaltung der Datenschutzbestimmungen.
FAQ: DSGVO & Mitarbeiterdaten – Ihre Fragen beantwortet
- Was bedeutet „Datenminimierung“ im Kontext der DSGVO? Es dürfen nur die für den Zweck unbedingt erforderlichen Daten erhoben und verarbeitet werden.
- Welche Rolle spielen Betriebsvereinbarungen im Datenschutz? Sie können die Rechtsgrundlage für Datenverarbeitungen im Beschäftigtenkontext bilden, müssen aber den Anforderungen der DSGVO entsprechen.
- Wann liegt ein DSGVO-Verstoß vor? Bei Verstößen gegen die DSGVO, z.B. Datenverarbeitung ohne Rechtsgrundlage oder Verletzung von Betroffenenrechten.
- Welche Sanktionen drohen bei DSGVO-Verstößen? Neben Schadensersatzforderungen drohen Bußgelder bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes.
